Mysql
 sql >> Baza danych >  >> RDS >> Mysql

mysql PDO i procedura składowana dynamiczne wstrzykiwanie SQL

Oczywiście, że tak.

Co jeśli in_var jest równe ' UNION SELECT password from admins -- ?

Aby tego uniknąć, nie powinieneś używać kultu cargo przygotowane oświadczenie, ale prawdziwe, zastępując zmienną symbolem zastępczym. 

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Konwertuj znaki latin1 w tabeli UTF8 na UTF8

  2. Wyszukiwanie z rozróżnianiem wielkości liter w Django, ale ignorowane w Mysql

  3. Wybierz wszystkie wiersze, które mają przynajmniej listę funkcji

  4. Jak zmienić hasło do konta root MySQL w CentOS7?

  5. Wyzwalacze PHP MySQL - Jak przekazać zmienne do wyzwalacza?